経営陣を含めたサイバーセキュリティ対策案合意形成手法の改良と企業への試適用
8
0
0
全文
(2) 情報処理学会研究報告 IPSJ SIG Technical Report. 2. CSF について CSF[3]は,組織のサイバーセキュリティを向上すること を目的に, リスク管理原則をまとめた枠組みである.また, リスクベース的なアプローチをとることで,共通認識を得 ながら経営陣と管理者層における理解度のギャップ,及び 現状と目標のギャップを埋める役割を果たしている. CSF は以下の 2.1~2.3 節の3つの要素で構成されている. 2.1 フレームワークコア フレームワークコア(以下コア)は「機能」 「カテゴリー」 「サブカテゴリー」 「参考情報」から構成される. 「機能」 はセキュリティ対策の最も基本的な内容を示す. 「カテゴリ ー」は「機能」を細分化したものである(図 1).コアの構 成に関する詳細は参考文献[3]を参照されたい. 2.2 フレームワークインプレメンテーションティア フレームワークインプレメンテーションティア(以下テ ィア)は,組織のリスク管理における認識やそのプロセス を4段階で示したものである.ティア 1 からティア 4 に上 がるに連れてよりアダプティブな状態であることを示す. 2.3 フレームワークプロファイル フレームワークプロファイル(以下プロファイル)は, 組織毎の要件に基づいてコアから必要なカテゴリー及びサ ブカテゴリーを抜粋した上で独自に評価し,まとめたもの である.各組織で,必要なセキュリティ管理体制に合わせ た目標を設定し,その目標に対して現状の管理体制を確認 することで,ギャップ(差異)が評価出来る.. 3. Intel 社による CSF の適用例 Intel 社は CSF の試適用である Pilot Project を行った[4]. Pilot Project は「SMEs」 「コアグループ」 「意思決定者およ び利害関係者」の 3 グループに分かれて実行された.本稿 ではこれらを順に管理者層,CISO,経営陣として扱う. Pilot Project では,簡略化のためにコアのサブカテゴリー を全て除外し,カテゴリーを充実させたコアを使用するこ とで,独自のカスタマイズを行っている.また,ティアの 段階毎に,その段階の状態を表す定義「ティアの定義」を 箇条書きで一覧表にし,ティアによる評価の指標とした. 更に,管理者層は,カテゴリー毎にティアの数値で現状 の評価を取り,数値が低ければ赤くするなどのヒートマッ プを作成することで,比較検討を行った. Pilot Project は CSF の要素に Intel 社独自の要素である「テ ィアの定義」「ヒートマップ」を加えて 7 ヶ月間行われた.. 4. 関連研究 その他の CSF の適用例としては,シカゴ大学における適. Vol.2017-CSEC-79 No.1 2017/12/4. 業務に整合させている. 対策案に関わる合意形成を得るための研究に関連する 報告としては,Multiple Risk Communicator (MRC)がある[9]. MRC は目的関数,制約条件,対策の効果とコストを入力す ることで費用対効果が最適な対策案の組み合わせを出力す るシステムである.すなわち,経営陣の要求に応じて制約 条件を設定することで,経営陣の要求の下で最適な対策案 の組み合わせを出力することが可能である.よって,MRC は対策案の選定に関わる合意形成に有効であると言える.. 5. 提案手法 CSF は現状と目標を比較することに留まっており,現状 を目標に近づけるための対策を選定する段階には至ってい ない.また,CAT も現状の成熟度と目標とする成熟度の評 価に留まっており,CSF と同様に対策案の列挙選定までを 考慮していないという課題が懸念されている[10]. MRC は,経営陣と管理者層のセキュリティに関わる共通 認識が乏しい場合,セキュリティ対策の合意形成が困難で あることが分かった[11].よって,経営陣と管理者層の共通 認識を得た上で対策案の合意形成を得る手法が求められる. 5.1 RC4T について 筆者らは Intel 社が行った適用を基に,対策の列挙選定も 考慮した CSF 適用プロセスを提案した.また,そのプロセ スを補助する RC4T というシステムを開発した[5].RC4T の開発言語は Java8,ステップ数は約 2800 ステップである. RC4T は「現状入力ツール」「現状把握ツール」を持つ. 「現状入力ツール」は管理者層が現状満たしているティ アの定義をカテゴリー毎に入力することを補助する.また, 「現状把握ツール」は経営陣と CISO が「現状入力ツール」 で入力された現状と目標を比較することを補助するツール である.さらに,管理者層が決定した対策とその効果を閲 覧する事もできる.これらのツールの詳細については参考 文献[5]を参照されたい.また,RC4T は許容可能なコスト 内で最も目標とのギャップを埋められる対策案の組み合わ せを総当たりによって求める機能である「対策案の組み合 わせ最適化機能」が「現状把握ツール」に実装されている [6].最適化方式の詳細は,参考文献[6]を参照されたい. 5.2 CSF 利用プロセス 筆者らは,CSF の利用プロセスを提案した(図 1)[6]. このプロセスは,経営陣と管理者層が CISO を介して対策 案に関わる合意形成を得るためのプロセスである.本プロ セスでは Intel 社が行った適用の流れを汲み取りつつ,対策 案の列挙及び選定も行っている.図 1 に示すプロセスの各 ステップの説明を以下に示す.. 用 例 が あ る [7] . ま た , CSF を 応 用 し た 例 と し て は. (1). Cybersecurity Assessment Tool (CAT)がある[8].CAT は主. 定義を RC4T に入力する.. に金融機関が自組織のセキュリティ成熟度評価を行えるよ. (2). 管理者層はカテゴリー毎の現状を RC4T に入力する.. うにするためのツールであり,CSF の枠組みを金融業界の. (3). RC4T は現状を経営陣と CISO に表示する.. ⓒ2017 Information Processing Society of Japan. CISO は経営陣と合意の上で,カテゴリー,ティアの. 2.
(3) 情報処理学会研究報告 IPSJ SIG Technical Report (4). Vol.2017-CSEC-79 No.1 2017/12/4. 経営陣と CISO はプロファイルで現状を把握し,カ. テゴリーごとにティアの目標値を設定する.併せて,許容 可能なコストを提示する. (5). CISO と管理者層は RC4T から対策が必要な範囲を把. 握する. (6). CISO と管理者層は対策について協議し,RC4T に対. 策名,対策のコスト,効果を 5.3 節に示す形で入力する. (7). RC4T は経営陣と CISO に許容可能なコスト内でティ 図 2. アの目標値と対策後のティアのギャップを最小にすること. Figure 2. が出来る最適な対策案の組み合わせを求め,表示する. (8). ティアの定義と対策のテーブル例 Table of Tier definitions and measures. 経営陣と CISO は,対策コストの合計,対策後のティ. アの実態, 対策案の組み合わせに満足なら対策を採用する. ティアの目標と対策後の予想実態の間に許容できないギャ. 6. 研究室に対する試適用と課題 筆者らは,筆者らが所属する研究室に対して図 1 のプロ. ップがあるなら,新たな許容可能なコストやギャップを確 実になくすべきカテゴリーを明確にした上で(6)に戻る.. セスを踏むことで,経営陣と管理者層にとって望ましい対 策案の組み合わせが得られるかどうかの検討を行った.そ の結果,提案したプロセス(図 1)と RC4T を利用するこ とで,経営陣と管理者層は CISO を介して対策案の合意形 成を行える見通しが得られることが分かった. しかし,組織の要件をティアの定義にするプロセス(図 1 の(1))が困難であることが分かった.よって,要件をテ ィアの定義に落とし込む議論を円滑に進める手法が求めら れる.更に,対策案の組み合わせ最適化機能は総当たりに よって最適解を導出するため,対策の数が増えるにつれて 時間コストが指数関数的に増大してしまう.よって,総当 たりによる最適化に代わる手法が求められる.. 図 1 Figure 1. 適用に関わる詳細は参考文献[6]を参照されたい.. CSF 利用プロセス Process of using CSF. 5.3 対策列挙手法 筆者らはティア 1 をティア 2~4 のいずれのティアにも 当てはまらない状態と定義した.また,特定のティア以下 のティアの定義を全て満たした場合のみに特定のティアに なると定義した.さらに,筆者らは各ティアの定義毎に ID を付与した.これらの定義を前提として,対策の効果を「対 策の対象管理者」「対策の対象カテゴリー」 「対策によって 解決するティアの定義」とする手法を提案した[10]. 以下の図 2 に示すティアの定義と対策の表では, 「○」を 現状満たしている部分, 「△」を対策によって満たされる部 分を示す.ここで, 「対策3」の効果を「管理者1」の「カ テゴリー1」の「ティアの定義 3-1」, 「対策4」の効果を「管 理者1」の「カテゴリー1」の「ティアの定義 3-2, 3-3」と すると,対策3と対策4を行う事でティア 3 の定義が満た され, 「管理者1」の「カテゴリー1」がティア 3 に上昇す る.このような手法を取ることで,コスト制約下で,ティ アに関する目標と現状の差を最小とする対策案の組み合わ せを求める最適化が可能となる.. ⓒ2017 Information Processing Society of Japan. 7. 企業への試適用 筆者らは 6 章の課題を踏まえて提案手法の改良を行い, 実際の企業への試適用を行った. 7.1 ティアの定義決定手法 筆者らはティアの定義決定に関わる議論を円滑に進める ため,GSN (Goal Structuring Notation)[12]という手法を用い ることにした.GSN は議論をグラフィカルに記述する手法 であり,要件分析や要件を満足する証跡の有無の確認など に利用される.GSN をサイバーセキュリティに利用した例 としては金子の研究[13]が挙げられる.GSN の具体的な記 述方法は参考文献[12]を参照されたい. GSN によるティアの定義決定手法は下記の通りである. 1.. 頂上のゴール「自身が管理している範囲においてこの カテゴリーは組織の要件に適応している」を設定する.. 2.. 頂上のゴールを解決する戦略「組織の要件に適応して いるかを確認」を設定する.また,戦略に関わるコン テキストとして組織の要件を列挙する.更に,列挙し た組織の要件毎に,戦略の下にサブゴール「【組織の 要件】に適応している(【組織の要件】には列挙した組 織の要件が入る)」を設定する.(組織の要件レイヤ). 3.
(4) 情報処理学会研究報告 IPSJ SIG Technical Report 3.. Vol.2017-CSEC-79 No.1 2017/12/4. 表 1. サブゴールを解決する戦略「【組織の要件】への対応 Table 1. 定する.また,戦略に関わるコンテキストとしてティ. カテゴリー. 管理者1. 管理者2. 目標値. ア 2~4 を記述する.更に,ティア 2~4 に応じて戦略. 資産管理. 2. 1. 4. 保守. 1. 2. 3. の下にサブゴールを設定する.(ティアレイヤ) 4.. カテゴリー-管理者の表例. がティアに適応しているか確認」をサブゴール毎に設. Example of Category-Administrator table. 末端のサブゴールを,CISO が満足するまで同様の手 順で細分化し,最終的に末端となったサブゴールをテ. 2.. ィアの定義とする.. 配列 Gap_1, Gap_2, Gap_3 を用意し,ギャップ 3 のカ テゴリー-管理者の組み合わせを Gap_1~3 に,ギャッ. 図 3 は組織の要件を「セキュリティ人材育成」 「標的型攻. プ 2 の組み合わせを Gap_1, 2 に,ギャップ 1 の組み. 撃への対応」にした場合の例である.前述の手順の通り,. 合わせを Gap_1 に格納する.. 組織の要件レイヤでは組織の要件ごとに,ティアレイヤで. 3.. 変数 I にギャップの最大値である 3 を格納する.. はティア 2~4 毎にゴールを細分化している.その後,任意. 4.. Gap_I に格納されたカテゴリー-管理者の組み合わせ. に細分化を行い,末端をティアの定義としている. また,GSN の定義として,末端のゴールに対しては,そ. を一つ取り出す. 5.. のゴールを満たす証跡の有無を記述する必要がある.提案. ティアの値を調べ,そのティアの値+1 において満た. 手法では,入力した現状と対策の効果が証跡に該当するた め,GSN の定義を満たしていると言える.. 取り出したカテゴリー-管理者の組み合わせの現状の していないティアの定義を調べる.. 6.. 満たしていないティアの定義を一つ選択し,そのティ アの定義に対して有効な対策を全て調べ,現在残って いる予算よりコストがかかる対策を取り除く.その結 果として有効な対策が 1 つの場合はその対策を採用 する.有効な対策が複数ある場合は「対策が埋めるテ ィアの定義の数÷コスト」をそれぞれの対策で計算し, 最も値が大きい対策を採用する.その後,採用した対 策によって埋まるティアの定義を満たしている状態 に変更し,予算を対策のコスト分減らす.この処理を ティアの定義ごとに逐次的に行う.. 7.. Gap_I が空になるまでプロセス 4~6 を繰り返す. Gap_I が空になった場合,I - 1 を行う.. 8. 図3 Figure 3. GSN によるティアの定義決定例 Example of deciding tier definition by GSN. I > 0 ならばプロセス 4 に戻る.I = 0 ならば最終的に 採用された全ての対策を近似解とする. 本アルゴリズムの計算時間は O(n^4)である.これは従来. の総当たりによる最適化の計算時間 O(2^n)より高速である 7.2 対策案の組み合わせ最適化のための高速近似解法. と言える.また,9 回の小規模なテストによる近似率の実. 筆者らは,特定のティア以下のティアの定義を全て満た. 験的評価を行った.近似率は「近似解のティアの上昇値 ÷. した場合のみに特定のティアになるという特徴を踏まえ,. 最適解のティアの上昇値」で求める事とする.すなわち,. 欲張り法のアルゴリズムによって最適化のための高速近似. 近似解の上昇値が 2,最適解の上昇値が 3 ならば約 66.7%. 解(以下,近似解)を求めることとした.提案するアルゴ. となる.結果,9 回中 7 回が 100%であり,平均近似率は約. リズムは,各カテゴリー-管理者の組み合わせで最も目標値. 90.7%であった.. とのギャップが大きい部分に注目して局所最適な対策を施. 7.3 試適用結果. すことでティアを上昇させることを目的としている.下記. 提案手法がセキュリティの現場においても有効であるか. にアルゴリズムの概要を示す.. を検証するために,実際の企業への試適用を行った.適用. 1.. 全てのカテゴリー-管理者の組み合わせで「目標値 –. 対象は主に保険業を営む企業 X 社である.X 社は数多くの. 現状値」を計算し,目標値とのギャップを調べる.故. 事業会社である子会社を保有している.今回の適用ではそ. に,ギャップの最大値は 3 である.例えば下記の表 1. の子会社の一部である A 社,B 社,C 社のセキュリティ評. では,ギャップ 3 は「資産管理-管理者2」,ギャップ. 価を X 社の者が行い,各子会社のセキュリティの現状を管. 2 は「資産管理-管理者1」 「保守-管理者1」,ギャップ. 理者層の現状として評価することとした.すなわち,試適. 1 が「保守-管理者2」となる.. 用に参加した管理者層は以下の表 2 の通りである.. ⓒ2017 Information Processing Society of Japan. 4.
(5) 情報処理学会研究報告 IPSJ SIG Technical Report 表 2 Table 2. Vol.2017-CSEC-79 No.1 2017/12/4. 試適用に参加した管理者. 化され定期的に見直しされ、最適化されてい. Administrators who participated for trial application 管理者 ID. 管理者名. A. 事業会社 A. B. 事業会社 B. C. 事業会社 C. る 4-4. ベストプラクティスのテクノロジーが採用さ れている. (2) 現状入力 (1)で入力したカテゴリーとティアの定義に従って各管. また,今回の適用では CISO と経営陣が参加できなかっ. 理者はセキュリティの現状を入力した.入力した結果を表. たため,第 1 著者が CISO 役としてロールプレイを行い,. 5,6 に示す.なお,表中の「〇」を現状満たしている部分,. 管理者における提案手法の使用感を評価することとした.. 「×」を現状満たしていない部分(ティアを上昇させるた. 以下に,図 1 のプロセスに従った試適用の結果を示す.. めに対策を必要とする部分) , 「―」を X 社の要件に基づい て評価対象外とした部分とする.. (1) カテゴリー,ティアの定義の入力 経営陣が不参加のため,ここでは CISO と管理者層がカ. 表 5. テゴリーとティアの定義を決定し,CISO が RC4T に入力 した.ティアの定義決定手法は 7.1 節の GSN を利用した.. Table 3. Current state of. “Protective Technologies” category. 定義 ID. 事業会社 A. 事業会社 B. 事業会社 C. 2-1. ―. ―. ―. 試適用で利用したカテゴリー. 2-2. 〇. 〇. 〇. Categories used for trial application. 2-3. 〇. 〇. ×. 表 3,4 に採用したカテゴリーとティアの定義を示す. 表 3. Table 5. カテゴリー「保護技術」の現状. 機能. カテゴリーID. カテゴリー名. 目標値. 2-4. 〇. 〇. 〇. 防御. PR.PT. 保護技術. 4. 3-1. ―. ―. ―. 防御. PR.AT. 意識向上および. 4. 3-2. 〇. 〇. 〇. 3-3. 〇. 〇. ×. 3-4. 〇. 〇. ×. 4-1. ―. ―. ―. 4-2. 〇. 〇. 〇. 4-3. 〇. ×. ×. 4-4. ×. ×. ×. トレーニング 表 4 Table 4. 試適用で利用したティアの定義 Tier definitions used for trial application. テ. 定. ィ. 義. ア. ID. 2. 2-1. セキュリティ人材育成を実施している. 2-2. リスク管理プロセスがポリシーレベルで文書. 2-3 2-4 3. 3-1 3-2. 定義の説明. Current state of. “Awareness/Training” category. 事業会社 A. 事業会社 B. 事業会社 C. リスク管理プロセスが手順書レベルまで文書. 2-1. 〇. 〇. 〇. 化されている. 2-2. 〇. 〇. 〇. ミニマムマストのテクノロジーが採用されて. 2-3. ―. ―. ―. いる. 2-4. ―. ―. ―. セキュリティ人材育成を繰り返し実施してい. 3-1. 〇. 〇. ×. る. 3-2. 〇. 〇. 〇. リスク管理プロセスがポリシーレベルで文書. 3-3. ―. ―. ―. 3-4. ―. ―. ―. 4-1. ×. ×. ×. 4-2. 〇. 〇. 〇. 4-3. ―. ―. ―. 4-4. ―. ―. ―. リスク管理プロセスが手順書レベルまで文書. 3-4. 標準的なテクノロジーが採用されている. 4-1. セキュリティ人材育成が最適化されている. 4-2. リスク管理プロセスがポリシーレベルで文書 化され定期的に見直しされ最適化されている. 4-3. Table 6 定義 ID. 化され定期的に見直しされている 4. カテゴリー「意識向上およびトレーニング」の現状. 化されている. 化され定期的に見直しされている 3-3. 表 6. リスク管理プロセスが手順書レベルまで文書. ⓒ2017 Information Processing Society of Japan. 更に,入力した現状の根拠を,各カテゴリーにおける各 ティアの定義毎に記述し,現状入力の説得性を補強した.. 5.
(6) 情報処理学会研究報告 IPSJ SIG Technical Report. Vol.2017-CSEC-79 No.1 2017/12/4. (3) 現状把握. 9. セキュリティ人財育成. (2)で入力した現状から RC4T は各カテゴリー-管理者の. 最適化に向けた外部ベ. 現状のティアを算出した.算出結果を以下の表 7 に示す.. ンダーによる研修実施 10. 表 7 Table 7. 各カテゴリー-管理者の現状 管理者 ID. 管理者平均. PR.AT. 4-1. 200. B. PR.PT. 4-3. 120. C. PR.PT. 4-3. 90. A. PR.PT. 4-4. 20000. A. PR.PT. 4-4. 6000. B. PR.PT. 4-4. 8000. B. PR.PT. 4-4. 1200. C. PR.PT. 4-4. 4000. C. PR.PT. 4-4. 1100. 順書の最適化に向けた. Current state of each Category-Administrator. カテゴリーID. リスク管理プロセス手. C. 目標値. A. B. C. PR.PT. 3. 3. 1. 2. 4. PR.AT. 3. 3. 2. 2. 4. 見直し 11. リスク管理プロセス手 順書の最適化に向けた 見直し. 12. インターネット接続環 境分離. (4) 方針の決定. 13. 表 7 より,全てのカテゴリー-管理者が目標値に至ってい ないため,CISO は全体的に対策を列挙するよう管理者層. 端末操作ログ取得 (EDR 導入). 14. に指示した.. インターネット接続環 境分離. (5) 対策必要範囲把握. 15. CISO と管理者層は表 5,6 を閲覧し,対策が必要な範囲 を把握した.今回は全体的に対策を行うことを目的とした. (EDR 導入) 16. ため,全ての「×」部分に対して対策を挙げることとなる. (6) 対策列挙. インターネット接続環 境分離. 17. 管理者層は全ての「×」部分に対して対策を列挙した.. 端末操作ログ取得. 端末操作ログ取得 (EDR 導入). また,CISO は(2)で記述された現状の根拠を基に,列挙さ れた対策によって「×」部分が解決するかを確認した.列 挙された対策は以下の表 8 の通りである.. (7) 対策閲覧 今回の適用では一定間隔の許容可能なコスト毎に上昇す るティアを比較するグラフを作成することによって対策の. 表 8 Table 8 対. 列挙された対策. 効果を表示した.また,従来手法であった最適化厳密解で. Enumerated measures. 対策名. 策. 管. ID. は 1 回の解の出力に 1 時間以上かかってしまうため,7.2 節. 対策の効果 カ テ. コ ス. で述べた近似解によってグラフを作成した.近似解の導出. 定. ト(万. は,いずれも 10 秒以内に終了した.以下の図 4 に近似解結. 円). 果グラフを示す.なお, 「費用対効果」は「ティアの上昇値. 理. ゴ リ. 義. 者. ーID. ID. ÷対策の総コスト×1000」によって算出される。また,横. ID 1. リスク管理プロセス手. 軸が許容可能なコスト,左縦軸が「対策の総コスト」に掛. C. PR.PT. 2-3. 300. C. PR.AT. 3-1. 150. C. PR.PT. 3-3. 80. 順書作成 2. セキュリティ人財育成. かる目盛、右縦軸が「ティアの上昇値」 「費用対効果」に掛 かる目盛である.. の繰り返し 3. リスク管理プロセス手 順書の定期見直し. 4. ふるまい検知導入. C. PR.PT. 3-4. 800. 5. IDS/IPS 導入. C. PR.PT. 3-4. 350. 6. WAF 導入. C. PR.PT. 3-4. 400. 7. セキュリティ人財育成. A. PR.AT. 4-1. 500. B. PR.AT. 4-1. 250. 最適化に向けた外部ベ ンダーによる研修実施 8. セキュリティ人財育成. 図 4. 最適化に向けた外部ベ ンダーによる研修実施. ⓒ2017 Information Processing Society of Japan. Figure 4. 近似解結果グラフ. Graph of the optimized approximate solution. 6.
(7) 情報処理学会研究報告 IPSJ SIG Technical Report. Vol.2017-CSEC-79 No.1 2017/12/4. 8 許容可能なコスト毎の対策の内訳は以下の表 9 の通りで ある.. 列挙された対策はセキュリティの向上として. 4. の効果が望めると思いますか. 9. 現状入力の根拠などを提示することによって, 4 列挙された対策の効果を経営陣に説明しやす. 表 9 Table 9 許容可能. 近似解の対策. くなると思いますか.. Measures of the optimized approximate solution 対策 ID. 10. 対 策 の. 現場の実際の状況とティアの定義から考えて. 4. 現状ティアの数値は妥当だと思いましたか.. なコスト. 総 コ ス. (万円). ト(万円). アを見て自社のセキュリティ状況を把握でき ると思いますか.. 11. あなたが経営陣として参加した場合,現状ティ. 2. 500. 1, 3, 11. 470. 1000. 1, 2, 3, 5, 11. 970. 1500. 1, 2, 3, 5, 9, 10, 11. 1290. 2000. 1, 2, 3, 5, 7, 9, 10, 11. 1790. 2500. 1, 2, 3, 5, 9, 10, 11, 17. 2390. 3000. 1, 2, 3, 5, 7, 9, 10, 11, 17. 2890. 3500. 1, 2, 3, 5, 10, 11, 15, 17. 3390. 4000. 1, 2, 3, 5, 8, 9, 10, 11, 15, 17. 3840. 4500. 1, 2, 3, 5, 7, 8, 9, 10, 11, 15, 17. 4340. は相当のコストが必要となるという現状と「効果=テ. 10500. 1, 2, 3, 5, 7, 8, 9, 10, 11, 13, 15, 17. 10340. ィアの上昇」ととらえる今回のモデルにおいて,ティ. 12. あなたが経営陣として参加した場合,近似解の. 4. 結果を見て納得すると思いますか. また,ヒアリングにより下記のような意見を得られた. 1.. 合意形成のための議論を行う上で,列挙された対策案 を最適化する処理に望ましい時間は 20 秒以下である.. 2.. サイバー対策のベストプラクティスを求めていくに. アを上げていくために費用対効果は下がっていくと いう今回の結果は実態と合っている.. 7.4 アンケート結果 今回の試適用終了後,管理者層に対してアンケートとヒ. 3.. サイバーセキュリティ対策の全てに対応するために. アリングを行った.アンケートは参加した管理者 3 名が議. は GSN 含め今回のモデルは複雑になりすぎて,難解. 論を行い,総意として 1 つのアンケートに記入した.アン. となるかもしれない.. ケートの結果を以下の表 10 に示す.なお,表 10 中の数値. 4.. 経営目線として,「ティアの上昇=効果」と捉えてい. は「1:思わない」 「2:やや思わない」 「3:どちらとも言え. るが,個々の対策毎にもそれぞれの個別の対策として. ない」「4:やや思う」「5:思う」を意味する.. の効果もあるので,効果に対する考えをどう整理して いくかは将来的な課題となると思われる.. 表 10 Table 10 番. (1) 最適化のための高速近似解法について. Questions rerated to trial application. 質問内容. 号 1. 7.5 考察. 試適用に関わる質問. GSN の表記方法は分かりやすいと思いました. 数. 図 4 とヒアリング 2,およびアンケートの質問 10 を見る. 値. と,グラフの結果とセキュリティの現場の実態が合致して. 4. いると考えられる.また,近似解を導出する時間はいずれ も 10 秒以下であったため,ヒアリング 1 の要件を満たし. か. 2. GSN を利用したティアの定義決定方法につい. 4. ティアの上昇値が減少していることが分かる.これは,対. ての説明後,ティアの定義を決定するのは容易. 策をするにあたって費用対効果の高いカテゴリー-管理者. であると思いましたか. 3. あなたが経営陣として参加した場合,目標値の. 3. 設定は容易であると思いますか. 4. 今回の適用において,現状の入力は容易である. 3. と思いましたか. 5. 今回の適用において,現状入力の根拠の説明は. 5. 容易であると思いましたか. 6. 今回の適用において,対策の列挙は容易である. 2. と思いましたか. 7. 今回の適用において,対策の効果を決定するの は容易であると思いましたか.. ⓒ2017 Information Processing Society of Japan. ていると言える.しかし,許容可能なコスト 3500 の地点で. 3. よりも先に費用対効果の低いカテゴリー-管理者を走査し てしまう時に発生する恐れがある誤差であることが分かっ た.すなわち,本試適用では事業会社 A と C の PR.AT の ティア 4 の定義 4-1 を満たす対策 7,9 を採用する方が効率 的であるにも関わらず,先に B の PR.PT のティア 4 を走査 してしまい,費用対効果の悪い対策 15 を採用してしまっ た.これにより,効率の良い対策 7, 9 を採用する予算が無 くなってしまったため生じる誤差であることが分かった. よって,このような誤差を減少させるためには最適化のた めの高速近似解法の再検討が必要であると考えられる.. 7.
(8) 情報処理学会研究報告 IPSJ SIG Technical Report (2) 提案手法について. Vol.2017-CSEC-79 No.1 2017/12/4. 様に謹んで感謝の意を表する.. 質問 1,2 を見ると,前回の試適用で課題となったティア の定義を決定するプロセスの困難さが,GSN を利用するこ. 参考文献. とで改善されたことが分かる.また,質問 5,9 を見ると本. [1]. 手法を利用することでセキュリティの現状と対策の効果を 経営陣に説明することが容易になったことが分かる.更に, 質問 8 を見ると,本手法で列挙された対策はセキュリティ の現場においても有効であると考えられる.しかし,質問 6 を見ると,対策の列挙が困難であることが分かる.更に, 質問 11 を見ると,提案手法では経営陣が現状を把握するの が困難である恐れがあることが分かる.これらは,ヒアリ ング 3 の結果から見て,提案手法のモデルが複雑であるが 故に生じる困難であると考えられる.よって,これに対し ては,適用を周回することによる慣れやモデルの簡略化が 必要であると考えられる. (3) 対策案合意形成について 質問 12 を見ると経営陣との対策案合意形成を行える見 通しは得られたと言える.しかし,ヒアリング 4 の結果を 見ると,対策の効果を「満たすティアの定義」としている 性質上,対策毎の特徴が削がれてしまう恐れがあることが 分かった.これは,今回は比較的小規模に適用を行ったた め,ティアの定義が不足しているためであると考えられる. よってこれに対しては,より大規模な適用を行った場合の 結果と照らし合わせる必要があると考えらえる.. 8. おわりに 本稿では,前回の試適用[6]で浮上した課題を改善する手 法として「GSN によるティアの定義」「最適化のための高 速近似解法」を提案し,実際の企業への試適用を行った. これにより,提案手法によって経営陣に対して現状と対策 案の説明が容易になり,対策案に関わる合意形成を行える 見通しが得られた.しかし,より実用的な手法とするには 下記のような課題が判明した. . 本稿で提案した最適化のための高速近似解法では従 来手法と比較して大幅な高速化が行えたが,ティアの 上昇値に関わる誤差を減らす工夫が必要である.. . 提案手法のモデルが複雑である.. . 対策毎の特徴が削がれてしまう恐れがある. よって,下記の事項を今後の課題としたい.. . 最適化のための高速近似解法の再検討.. . 提案モデルの簡略化,適用の周回による変化の考察.. . より大規模な試適用. 謝辞. “情報セキュリティガバナンス導入ガイダンス”. http://www.meti.go.jp/policy/netsecurity/downloadfiles/securty_go v_guidelines.pdf, (参照 2017-10-30). [2] 林紘一郎. 係長セキュリティから社長セキュリティへ:日本 的経営と情報セキュリティ. 情報セキュリティ総合科学, 2010, vol. 2, p. 1-42. [3] National Institute of Standards and Technology (NIST). Framework for Improving Critical Infrastructure Cybersecurity version 1.0. 情報処理推進機構(訳). 重要インフラのサイバ ーセキュリティを向上させるためのフレームワーク 1.0 版. https://www.ipa.go.jp/files/000038957.pdf, (参照 2017-10-30). [4] T. Casey, K. Fiftal, K. Landfield, J. Miller, D. Morgan, and B. Willis. The Cybersecurity Framework in Action: An Intel Use Case. https://www.intel.com/content/dam/www/public/us/en/documents/s olution-briefs/cybersecurity-framework-in-action-use-casebrief.pdf, (参照 2017-10-30). [5] 福島章太, 佐々木良一. Cybersecurity-Framework を用いた対 策案合意形成手法の提案. マルチメディア,分散,協調とモ バイルシンポジウム 2016 論文集, 2016, vol. 2016, p. 16991704. [6] Shota Fukushima, Ryoichi Sasaki. Proposal and Evaluation of Method for Establishing Consensus on Combination of Measures Based on Cybersecurity Framework. International Journal of Cyber-Security and Digital Forensics (IJCSDF), 2016, vol. 5, no. 3, pp. 155-165. doi:10.17781/P002209. [7] “Applying the Cybersecurity Framework at the University of Chicago–An Education Case Study”. http://security.bsd.uchicago.edu/wpcontent/uploads/sites/2/2016/04/BSD-Framework-ImplementationCase-Study_final_edition.pdf, (cited 2017-10-30). [8] “Cybersecurity Assessment Tool,”. https://www.ffiec.gov/pdf/cybersecurity/FFIEC_CAT_June_2015_ PDF2.pdf, (cited 2017-10-30). [9] 佐々木良一, 日高悠, 守谷隆史, 谷山充洋, 矢島敬士, 八重樫 清美, 川島泰正, 吉浦裕. 多重リスクコミュニケータの開発 と適用. 情報処理学会論文誌, 2008, vol. 49, no. 9, p. 31803190. [10]『FFIEC Cybersecurity Assessment Tool に関する調査研究』調 査報告書. http://www.fsa.go.jp/common/about/research/20160815-1/01.pdf, (参照 2017-10-30). [11] 谷山充洋, 日高悠, 荒井正人, 甲斐賢, 伊川宏美, 矢島敬士, 佐々木良一. 多重リスクコミュニケータの企業向け個人情報 漏洩問題への適用. 日本セキュリティマネジメント学会論文 誌, 2009, vol. 23, no. 2, p. 34-51. [12] “GSN COMMUNITY STANDARD VERSION 1”. http://www.goalstructuringnotation.info/documents/GSN_Standard .pdf, (cited 2017-10-30). [13] 金子朋子. より安全なシステム構築のために~CC-Case_i に よるセキュリティ要件の見える化. 日本セキュリティマネジ メント学会論文誌, 2016, vol. 30, no. 1, p. 11-22.. 本稿の試適用に参加し研究の改良に尽力して頂. いた企業の皆様,GSN によるティアの定義決定手法につい て様々なご指導,ご助言をして頂いた東京電機大学の勅使 河原可海先生および(独)情報処理推進機構の金子朋子様, 筆者らの所属する研究室での試適用に参加頂いた係長の皆. ⓒ2017 Information Processing Society of Japan. 8.
(9)
図
関連したドキュメント
また、注意事項は誤った取り扱いをすると生じると想定される内容を「 警告」「 注意」の 2
氏は,まずこの研究をするに至った動機を「綴
断面が変化する個所には伸縮継目を設けるとともに、斜面部においては、継目部受け台とすべり止め
「A 生活を支えるための感染対策」とその下の「チェックテスト」が一つのセットになってい ます。まず、「
次に、第 2 部は、スキーマ療法による認知の修正を目指したプログラムとな
・難病対策地域協議会の設置に ついて、他自治体等の動向を注 視するとともに、検討を行いま す。.. 施策目標 個別目標 事業内容
そのため、ここに原子力安全改革プランを取りまとめたが、現在、各発電所で実施中
第一の場合については︑同院はいわゆる留保付き合憲の手法を使い︑適用領域を限定した︒それに従うと︑将来に
